Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo utilizar roles vinculados a servicios de AWS Directory Service
AWS Directory Service usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Directory Service Los roles vinculados al servicio están predefinidos AWS Directory Service e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Directory Service , ya que no es necesario añadir manualmente los permisos necesarios. AWS Directory Service define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Directory Service puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. Esto evita que pierda el acceso a sus AWS Directory Service recursos porque no puede eliminar inadvertidamente los permisos de acceso a los recursos.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM.
Temas
Permisos de rol vinculados al servicio para AWS Directory Service
Crear un rol vinculado al servicio para AWS Directory Service
Edición de un rol vinculado a un servicio para AWS Directory Service
Eliminar un rol vinculado a un servicio para AWS Directory Service
Regiones compatibles para los roles vinculados al servicio AWS Directory Service
Permisos de rol vinculados al servicio para AWS Directory Service
AWS Directory Service utiliza el rol vinculado al servicio denominado AWSServiceRoleForDirectoryService: Permite supervisar los controladores de dominio AWS autogestionados del cliente.
El rol vinculado al servicio AWSServiceRoleForDirectoryService depende de los siguientes servicios para asumir el rol:
-
ds.amazonaws.com
La política de permisos de roles denominada AWSDirectory ServiceServiceRolePolicy permite AWS Directory Service realizar las siguientes acciones en los recursos especificados. Para ver todos los permisos de la política, consulte AWSDirectoryServiceServiceRolePolicyla Referencia de políticas AWS administradas.
-
ec2— Permite que el servicio describa los recursos de la red VPCs, como las subredes, los grupos de seguridad y las interfaces de red, para validar las configuraciones de conectividad híbrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Permite que el servicio envíe y supervise las PowerShell guilabels a los controladores de dominio locales con fines de supervisión y evaluación:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Crear un rol vinculado al servicio para AWS Directory Service
No necesita crear manualmente un rol vinculado a servicios. Cuando AWS permite supervisar los controladores de dominio autogestionados del cliente en la AWS Management Console, la API o la AWS API AWS CLI, se AWS Directory Service crea automáticamente el rol vinculado al servicio. Para obtener más información sobre este cambio, consulte Actualizaciones de políticas.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el AWS Directory Service servicio antes del 1 de enero de 2017, cuando comenzó a admitir funciones vinculadas al servicio, entonces AWS Directory Service creaste la AWSServiceRoleForDirectoryServicefunción en tu cuenta. Para obtener más información, consulte Apareció un nuevo puesto en mi. Cuenta de AWS
Edición de un rol vinculado a un servicio para AWS Directory Service
AWS Directory Service no permite editar el rol vinculado al AWSServiceRoleForDirectoryServiceservicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminar un rol vinculado a un servicio para AWS Directory Service
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el AWS Directory Service servicio utiliza el rol en el momento en que intenta eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar AWS Directory Service los recursos utilizados por el AWSService RoleForDirectoryService
-
Para eliminar el directorio, consulteEliminar tu Microsoft AD AWS administrado.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForDirectoryServiceservicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones compatibles para los roles vinculados al servicio AWS Directory Service
AWS Directory Service no admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Sin embargo, AWS Directory Service utiliza el AWSServiceRoleForDirectoryServicerol solo en los Regiones de AWS casos en los que puede optar por utilizar directorios híbridos.
| Nombre de la región | Identidad de la región | soporte opcional |
|---|---|---|
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Asia-Pacífico (Bombay) | ap-south-1 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia Pacífico (Osaka) | ap-northeast-3 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
